Windows 有EventID 1102 "The audit log was clear"。Unix/Linux 中的等效审计事件是什么?
如果有人有示例事件,并且知道需要配置什么审计策略来获取此事件,请也发布。
AskOverflow.Dev
Windows 有EventID 1102 "The audit log was clear"。Unix/Linux 中的等效审计事件是什么?
如果有人有示例事件,并且知道需要配置什么审计策略来获取此事件,请也发布。
没有:审计日志是一个可以删除的文本文件。但是,如果将 auditd 配置为从初始启动开始运行,则无法停止 auditd 并将继续写入其打开的文件描述符。如果将 auditd 配置为查看其输出日志,这将记录删除(尽管您必须恢复文件才能查看信息)。
通常(在最终用户系统上),auditd 被配置为记录“安全事件”(登录/注销),但可以被告知监视文件的更改。(例如) 没有什么特定的
/var/log/audit/auditd.log,但您可以按照手册页中的说明为它建立一个手表。进一步阅读: